Entreprise de télécommunications accusée de refuser le service sans le NAS

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2003-204

[Principes 4.3.3 et 4.4; paragraphe 5(3)]

Plainte

Une particulière a allégué qu'une entreprise de télécommunications avait refusé de lui fournir un service téléphonique parce qu'elle n'avait pas voulu lui communiquer son numéro d'assurance sociale (NAS).

Résumé de l'enquête

Lorsque la plaignante a téléphoné à l'entreprise pour obtenir le service, on lui a demandé de produire deux pièces d'identité parmi les suivantes : permis de conduire, numéro d'assurance sociale ou carte d'assurance-maladie. Devant le refus de la plaignante, l'entreprise a demandé le versement d'un dépôt de garantie, qu'elle a également refusé. La plaignante s'est opposée à ces conditions, soutenant qu'elles étaient injustes pour les gens comme elle, qui n'ont pas de permis de conduire, qui ne veulent pas fournir leur NAS ou d'assurance-maladie à l'entreprise et qui n'ont pas les moyens de verser le dépôt.

L'entreprise a indiqué qu'elle demande des pièces d'identité pour vérifier la solvabilité des nouveaux abonnés et confirmer l'identité des clients réguliers. Comme elle fait crédit aux clients de ses services téléphoniques et tient un dossier de crédit à leur sujet, l'entreprise doit être en mesure d'évaluer la solvabilité des nouveaux abonnés. Elle a pour pratique de demander deux pièces d'identité sur quatre possibles (date de naissance, NAS, permis de conduire ou carte d'assurance-maladie). Si la demande de service émane d'une personne qui a déjà un dossier de crédit avec l'entreprise, l'information sert à confirmer l'identité du demandeur. L'entreprise demande un dépôt de garantie lorsque le demandeur ne peut pas ou ne veut pas fournir les pièces d'identité demandées.

Conformément à la procédure établie, l'entreprise a d'abord expliqué à la plaignante que l'information était destinée à une vérification du crédit. La plaignante a proposé de fournir à l'entreprise l'information requise pour l'ouverture d'un compte bancaire ou de prendre des dispositions pour faire effectuer la vérification, mais celle-ci a refusé. Comme la plaignante avait été une cliente de l'entreprise de 1971 à 2000, elle a ensuite proposé de fournir des reçus faisant état de ses bonnes habitudes de paiement. L'entreprise a refusé, indiquant que l'information était nécessaire pour confirmer son identité. Selon la plaignante, on lui a aussi dit qu'elle devait fournir son NAS, ce que nie l'entreprise.

À la lumière de la réticence de la plaignante à fournir les pièces d'identité, l'entreprise a décidé de traiter celle-ci comme une cliente et de lever l'obligation de produire deux pièces d'identité pour n'en demander qu'une seule. La plaignante a cependant refusé cette proposition et obtenu le service téléphonique d'un autre fournisseur.

Conclusions du commissaire

Rendues le 5 août 2003

Compétence : Depuis le 1^er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toute installation, tout ouvrage, toute entreprise ou tout secteur d'activité fédéral et également à toute entreprise de compétence provinciale qui communique des renseignements personnels pour contrepartie à l'extérieur de la province. Le commissaire avait compétence dans cette cause parce qu'une entreprise de télécommunications est une installation, un ouvrage, une entreprise ou un secteur d'activité fédéral au sens de la Loi.

Application : Le principe 4.3.3 prévoit qu'une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées, tandis que, selon le principe 4.4, l'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées. En vertu du paragraphe 5(3), l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Dans des cas analogues mettant en cause la même entreprise, le commissaire avait déterminé qu'une personne raisonnable trouverait justifié que l'organisation recueille des renseignements personnels pour confirmer l'identité ou la solvabilité d'un client potentiel. Il a donc conclu, dans ce cas, que la collecte n'était pas déraisonnable et que l'entreprise respectait le principe 4.3.3 de l'annexe 1 et le paragraphe 5(3) de la Loi.

Le commissaire a aussi indiqué que les entreprises qui réunissent de l'information pour la vérification de la solvabilité ou de l'identité doivent limiter l'information à ce qui est nécessaire pour ces fins. Étant donné que l'entreprise avait proposé à la plaignante le choix des pièces d'identité qu'elle pouvait produire, l'option du dépôt de garantie ainsi que l'offre de lever ses conditions et de n'accepter qu'une seule pièce d'identité, le commissaire s'est dit convaincu que l'entreprise s'était limitée à l'information nécessaire pour les fins en question, comme le prévoit le principe 4.4.

Le commissaire a donc conclu que la plainte était non fondée.

Autres considérations

Nonobstant ses conclusions, le commissaire a apprécié les réticences de la plaignante quant à la prestation de son numéro d'assurance sociale. Il a souligné que les organisations assujetties à la Loi demandent souvent le NAS pour fins d'identification, et que rien ne peut les en empêcher. Cependant, le gouvernement fédéral est d'avis que le NAS ne devrait servir qu'aux fins prévues par la loi. Conformément à cette position, le commissaire a réitéré son opinion voulant que les Canadiens et les Canadiennes devraient éviter de fournir leur NAS comme moyen d'identification, faute de quoi, le NAS risque de devenir de facto un identificateur national, plutôt qu'un simple numéro de compte aux fins des avantages sociaux.